La scienza forense si è data appuntamento a Roma per una nuova edizione del Forum IISFA e delle esercitazioni di simulazione su case studies. Obiettivo: conoscenza specializzata condivisa e provata
L’International Information Systema Forensics Association (IISFA), si riunisce per tracciare lo stato dell’arte della forensics, ovvero la scienza forense applicata ai sistemi informatici coniugata con la professionalità giuridica che guida le indagini per la ricerca di evidenza di reato da portare in dibattimento.
Gerardo Costabile, Presidente IISFA, ha aperto la prima giornata sottolineando l’importanza della crossfertilization delle competenze per crescere tutti insieme nelle due anime professionali che necessariamente costituiscono la forensics: i giuristi e gli investigatori. I primi esperti della legge e dei procedimenti e procedure penali, i secondi, i tecnici capaci di specializzarsi nelle modalità di indagine su ogni ambito digitale da cui sia necessario estrarre evidenze e prove da portare in dibattimento. La particolarità dell’IISFA è sempre stata fin dalla sua creazione, il 2007, quella di unire interventi tecnici e di giuristi e da allora le due famiglie professionali si parlano e collaborano attivamente. Abbiamo intervistato il Presidente IISFA, Gerardo Costabile per comprendere il focus tematico di questa edizione e le sfide attuali e future.
L’intervista
Su cosa vi siete concentrati in questa edizione ovvero su cosa è necessario essere aggiornati?
In questa occasione abbiamo voluto focalizzare su diverse tematiche che costituiscono una sfida per l’acquisizione forense dei dati. Il web è sempre più complesso per l’acquisizione forense, a causa dell’esigenza di cristallizzazione delle prove a fronte del dinamismo delle informazioni in rete. Anche l’ambito mobile rappresenta una difficoltà per la sua pervasività e per gli aspetti di cifratura di alcune applicazioni. La spiegazione delle modalità di gestione corretta in relazione alle complessità investigative su queste tecnologie, è stata coniugata a casi reali di stalking e adescamenti. Ancora un approfondimento necessario è stato il tema della forense da immagini e video, perché grazie all’evoluzione delle tecnologie è possibile non solo raccogliere dati audio, foto e video, ma anche ricostruire dinamiche ed eventi. Ad esempio, è possibile conoscere la velocità di un’auto a partire da un video, per aiutare gli investigatori nella ricostruzione delle dinamiche correlate ad un evento illecito.
Ancora importante anche il tema della intelligenza artificiale correlata ad aspetti giuridici del sistema penale per comprendere come si sta evolvendo l’aspetto giuridico o come dovrebbe evolvere il sistema penale in relazione a questa tecnologia. Anche l’argomento delle criptovalute per l’acquisizione di dati sugli illeciti e frodi rappresenta un problema, per la difficoltà del sequestro delle criptovalute, stesse; infatti, rappresentando denaro contante, ma di tipo digitale, non esistono metodologie standard di riferimento e quindi si applica il buon senso, ma il tentativo nel nostro forum è stato quello portare delle best practices che speriamo potranno essere veicolate nei comparti investigativi per aiutarli in ogni aspetto del loro lavoro. Sottolineo anche l’iniziativa di creare un education response team per portare la formazione sui rischi in rete (adescamenti e bullismo) e la awareness nelle scuole informando i ragazzi mediante contenuti specifici, per aiutarli ad evitare e prevenire situazioni di pericolo. L’iniziativa completamente no profit, che sta nascendo anche come gruppo FB, è coordinata da Francesco Cajani, Magistrato di Milano e vede tra i suoi sostenitori anche Nunzia Ciardi direttore del Servizio di polizia postale e delle comunicazioni.
Infine, ma non ultimo per importanza, il dott. Eugenio Albamonte sostituto procuratore di Roma, ha tracciato un importante bilancio della legge n. 48 del 2008 sui reati informatici. Il bilancio si è reso necessario per condividere come l’applicazione della norma sia puntuale nelle grandi città, ma stenti maggiormente nelle realtà locali minori, a causa di un problema di competenze proprio sull’informatica forense a riprova di un impatto di skill shortage anche in questi ambiti.
Il secondo giorno per il Cybercop 2018, abbiamo presentato la situazione reale e diretta di ethical hacking, per mostrare e spiegare la parte etica di un attacco ma anche spiegare ai tecnici il sottile confine con il reato e il dolo. Ma ne parlerà meglio Massimiliano Graziani.
Quali sono le maggiori difficoltà nella forensics per cui si rende necessario essere continuamente aggiornati con la condivisione di conoscenza?
Le tecnologie evolvono in un’ottica di IOT, con software e device non standard. Quindi la complessità dell’analisi forense aumenta. Qualsiasi oggetto connesso richiede di essere studiato e la laboriosità dipende dai sistemi operativi proprietari e non standardizzati che richiedono una specializzazione delle figure tecniche, tanto che si stanno aprendo scenari di verticalizzazione della forensic per tecnologie, sistemi, ambiti e domini tematici; inoltre sempre più spesso si rende necessario il supporto ai vendor proprio per le tecnologie da investigare, ma anche qui la difficoltà aumenta a causa del fatto che molti vendono sono all’estero. A complicare ulteriormente le problematiche tecniche, c’è lo sterminato volume di dati da gestire in catena di custodia, l’aggiornamento formativo necessario per prepararsi all’evoluzione tecnologica, e il costo di tale formazione specifica, notoriamente ingente. Non può esistere colui capace di fare tutto di tutto. Quanto detto vale anche dal punto di vista giuridico, con una tendenza alla specializzazione per ambito anche degli avvocati. La materia informatica sarebbe neutra, ma l’ambito in cui si verifica il reato richiede una specializzazione sul dominio e poiché gli avvocati che devono guidare il tecnico, devono conoscere bene le procedure giuridiche da attuare per il caso specifico. Ad esempio, alcune raccolte di prove devono essere fatte in contraddittorio con procedure specifiche e non in laboratorio.
Nel Futuro la scienza forense su cosa dovrà concentrarsi?
Sicuramente un importante tema da affrontare sarà quello della robotica umanoide e dell’Intelligenza Artificale, a causa della complessità nell’analisi forense complicata dalla assenza di standard cui fare riferimento (infatti, robot e algoritmi di AI sono spesso prodotti con tecnologie proprietarie e sotto brevetto n.d.r.). In aggiunta questi sistemi complessi avranno una componente di dati mantenuta localmente al sistema e parte invece salvata su cloud e anche questo costituirà una sfida per l’investigatore, perché per poter analizzare e collezionare evidenze e prove secondo la catena di custodia, dovrà prendere dati da tante diverse sorgenti in cloud, gestire la dinamicità di questi dati che impedisce una “fotografia statica” della situazione e che forse potrebbe portare a dover presentare un video della situazione illecita da portare in dibattimento. Allo stesso tempo anche il giurista, al di là degli aspetti strettamente tecnici, dovrà confrontarsi con questi ambiti tecnologici e garantire un procedimento di raccolta, analisi e tutela da poter portare in dibattimento con una appropriata valenza legale e giuridica.
Cybercops 2018 – l’evoluzione dell’hacking
La seconda giornata di IISFA, dedicata all’esercitazione Cybercop, ha avuto come focus un caso reale introdotto da Massimiliano Graziani, esperto si cybersecurity, Ceo di Cybera e socio fondatore IISFA, che abbiamo intervistato per spiegare il viaggio in cui ha voluto portare gli astanti predisponendo gli argomenti e le evidenze propedeutiche alla simulazione reale di dibattimento, vero fulcro dell’esercitazione.
Su cosa è stata focalizzata l’esercitazione del Cybercops quest’anno?
Per spiegare la sottile linea rossa che separa etichal hacking da una azione illecita, sono partito dalla definizione e dalla storia dell’hacking, per raccontare “l’evoluzione della specie hacker” fino ad oggi. Era necessario anche introdurree le metodologie e soprattutto le fondamentali regole di ingaggio e la fase di approvazione del committente, fasi che devono avvenire prima delle azioni di attacco. Ho spiegato anche tutte le situazioni in cui si finisce nel torto, dando evidenza come le buone intenzioni non siano sufficienti se non ci si organizza, se non si informa e se non si opera in modo trasparente, lecito e concordato con il committente. Ho mostrato attacchi autorizzati che sono borderline e di cui si può perdere il controllo per stimolare la domanda verso la parte legale costituita da due avvocati, Stefano Aterno e Mario Ianulardo, il coordinatore della Squadra dei reati informatici della procura della Repubblica Davide D’Agostino e il giudice per le indagini preliminari presso il Tribunale di Roma, Costantino del Robbio, che hanno avviato il dibattimento di confronto. L’obiettivo era stimolare la discussione sul caso reale che costituisce l’esercitazione Cybercops. Presenti in aula sono state anche forze di Polizia Giudiziaria e carabinieri in borghese per evitare fuga di dati sul caso reale presentato, costituito dalla discovery di una reale vulnerabilità 0-day.
Perché l’esercitazione dei Cybercops è una componente importante del Forum IISFA?
Perché è un momento formativo impagabile che in una giornata, permette ai partecipanti di interagire con la componente giudiziaria imparando su un caso reale. La responsabilizzazione sulle conseguenze di una azione di hacking in questo caso, ha fatto capire a tutti il rischio di leggerezze, il rischio di “sforare” facilmente solo per mettersi in mostra, il rischio di un errore sebbene involontario ma capace di rendere perseguibili a norma di legge.
L’app My Tutela
Marco Calonzi, consulente di digital Forensic, ha presentata dal l’app My Tutela, pensata per supportare vittime di stalking, violenze familiari, bullismo, che troppo spesso non denunciano per paura, per vergogna e perché pensano di non essere creduti. L’app consente alle vittime di raccogliere prove sul proprio cellulare, ovvero dati (foto, audio e video, chat, messaggi) e li conserva sul device per permettere di creare un archivio esportabile, al fine di velocizzare le azioni di denuncia e di accusa. I dati sono anche salvati in cloud per evitare che la compromissione del cellulare cancelli le prove o che l’eventuale “compromissione fisica” della persona stessa, possa evitare al colpevole di essere perseguito.
